Una Possibile Soluzione Per L'analisi Di Sicurezza All-In-One
Total Page:16
File Type:pdf, Size:1020Kb
Public Una possibile soluzione per l’analisi di sicurezza all-in-one AlienVault-OSSIM in configurazione all-in-one per branch office e sedi medio piccole Gianluca Peco INFN CCR Workshop Public Public Contesto 4 Panoramica dei sistemi esistenti e scelta Cos’è e cosa fa OSSIM 3 Sommario Com’è fatto OSSIM 2 Implementazione del sistema 1 Demo 5 min. 24 maggio 2021 Gianluca Peco - INFN CCR Workshop 2 Public Public Contesto Anche a seguito dell’evoluzione delle linee guida di sicurezza delle informazioni risulta estremamente utile dotarsi di uno strumento per il monitoring, l’analisi e la correlazione di eventi di sicurezza (ma non solo), a supporto della difesa attiva, della compliance e dell’analisi forense. Grandi quantità di dati prodotti dai sistemi di log, dai firewall perimetrali, dalle sonde IDS (Intrusion Detection Systems) e dai sistemi EDR (Endpoint Detection and Response) sono spesso inutilizzati fino all’evento negativo. Esistono strumenti per l’analisi e la correlazione real-time degli eventi di sicurezza sia opensource che commerciali. I sistemi IT si sono stratificati e differenziati al punto da richiedere la gestione distribuita di attività storicamente centralizzate come l’analisi dei log e degli eventi. 24 maggio 2021 Gianluca Peco - INFN CCR Workshop 3 Public Public Stadi evolutivi della cybersecurity Fonte: https://www.trianz.com/cybersecurity 24 maggio 2021 Gianluca Peco - INFN CCR Workshop 4 Public Public Definizione di SIEM (1/2) https://it.wikipedia.org/wiki/Security_Information_and_Event_Management Software e servizi che integrano vari componenti per fornire analisi in tempo reale degli eventi, la possibilità di fornire report inerenti ai dati raccolti, rispondendo alle esigenze di incident response, compliance e analisi forense. 01 02 03 Raccolta dati: I log sono la fonte Parsing e normalizzazione: Ogni Correlazione: La correlazione tra principale di dati analizzati da un SIEM. dispositivo gestisce e conserva i dati a eventi diversi è una delle funzionalità Ogni apparato di sicurezza, software, modo suo, il SIEM provvede ad uniformare principali, consente di integrare ed database, presente nel sistema invia i dati i dati raccolti, catalogandoli per tipo di analizzare gli eventi provenienti da diverse contenuti all’interno dei file di log al server dispositivo e tipo di dato, agevolandone fonti. Sebbene il SIEM disponga di una principale sul quale risiede il SIEM. L’invio l’interpretazione. serie di regole di correlazione già dei dati può essere gestito tramite predefinite, mette a disposizione la software agent oppure consentendo al possibilità di creare delle regole SIEM di accedere direttamente al personalizzate al fine di soddisfare le dispositivo. La scelta su quale metodo esigenze degli amministratori. Basandoci utilizzare è correlata ai dispositivi che sulla correlazione tra gli eventi di sicurezza utilizziamo. e i dati sulle vulnerabilità presenti nel sistema è possibile attribuire una priorità ad un evento. 24 maggio 2021 Gianluca Peco - INFN CCR Workshop 5 Public Public Definizione di SIEM (2/2) https://it.wikipedia.org/wiki/Security_Information_and_Event_Management Software e servizi che integrano vari componenti per fornire analisi in tempo reale degli eventi, la possibilità di fornire report inerenti ai dati raccolti, rispondendo alle esigenze di incident response, compliance e analisi forense. 01 02 03 Reporting: L’archiviazione dei Dashboard: Le dashboard Notifiche: I segnali di notifica e dati a lungo termine unita alla forniscono un quadro generale avviso vengono generati al possibilità di sfruttare query dell’ambiente di lavoro in tempo presentarsi di determinati personalizzate per l’estrazione reale. Tramite questi strumenti eventi, informando gli utenti di dei dati, consentono la è possibile fornire una una possibile minaccia. Le creazione di report. I report rappresentazione dei dati sotto segnalazioni posso avvenire possono essere utilizzati a forma di diagrammi o altri tramite dashboard o utilizzando scopo di audit, compliance o di modelli, consentendo agli servizi di terze parti come la analisi forense. analisti di individuare posta elettronica o gli SMS. rapidamente attività anomale. 24 maggio 2021 Gianluca Peco - INFN CCR Workshop 6 Public Public Panoramica dei sistemi esistenti 2020 SIEM Gartner Magic Quadrant OSSIM Criteri di scelta: • Opensource • Ampia comunità di supporto • Collaborative Threath Intelligence https://l.infn.it/e1 24 maggio 2021 Gianluca Peco - INFN CCR Workshop 7 Public Public Scelta • La scelta finale è ricaduta su OSSIM che dispone di funzionalità aggiuntive come: • Integrazione di molteplici funzionalità in una unico tool “all-in-one” (monitoring, asset management, vulnerability scan, analisi dei flussi, NIDS, HIDS, report) • Possibilità di integrare, utilizzare e partecipare alla OTX Open Threat Intelligence Community • Utilizzo di plugin di correlazione e normalizzazione standard, free e modificabili • Reportistica per la compliance preconfezionata 24 maggio 2021 Gianluca Peco - INFN CCR Workshop 8 Public Public https://en.wikipedia.org/wiki/OSSIM Cos’è OSSIM-AlienVault https://cybersecurity.att.com/products/ossim/compare Progetto iniziato nel 2003, nel 2008 viene creata l’azienda AlienVault che inizia a vendere un derivato commerciale di OSSIM: AlienVault Unified Security Management – USM. AlienVault viene poi acquisita da AT&T Communications nel 2019 e viene rinominata AT&T Cybersecurity. OSSIM viene distribuito con licenza GNU GPL e contiene e seguenti componenti: • PRADS usato per identificare host e servizi tramite il monitoraggio passivo del traffico di rete • Snort usato come IDS, e per costruire cross-correlation con OpenVAS. • Suricata usato come IDS (IDS di default a partire dalla versione 4.2) • Tcptrack usato per raccogliere dati sulle sessioni che possono essere correlati agli altri dati per avere più informazioni sugli attacchi • Munin per l’analisi del traffico e come whatchdog dei servizi • NFSen/NFDump usato per collezionare e analizzare le informazioni NetFlow • FProbe usato per generare dati NetFlow dal traffico catturato • Nagios usato per monitorare host e porte specifiche, per verificare la disponibilità degli asset e come sistema di monitoring locale • OpenVAS usato per vulnerability assessment, associato agli asset • OSSIM include anche una serie di tool sviluppati ad-hoc come un motore di correlazione che supporta direttive logche e l’integrazione dei log attraverso plugin. 24 maggio 2021 Gianluca Peco - INFN CCR Workshop 9 Public Public Cosa fa OSSIM-AlienVault https://cybersecurity.att.com/documentation/usm-appliance/system-overview/about-usm-solution.htm 24 maggio 2021 Gianluca Peco - INFN CCR Workshop 10 Public Public Asset Discovery — Combines core discovery and inventory technologies to give you visibility into the devices that are on your network. Cosa fa Vulnerability Assessment — Identifies assets and devices with unpatched software, insecure configurations, and other vulnerabilities on your network Intrusion Detection — Coordinates incident response and threat management across your network with built-in security monitoring technologies, emerging threat intelligence from AT&T Alien Labs™, and seamless closed-loop workflow for rapid remediation. Behavioral Monitoring — Identifies anomalies and other patterns that signal new, unknown threats in your network, as well as suspicious behavior and policy violations by authorized users and devices Security Information and Event Management (SIEM) — Identify, contain, and remediate threats in your network by prioritizing your risk and response 24 maggio 2021 Gianluca Peco - INFN CCR Workshop 11 Public Public Com’è fatto The three components of the USM Appliance architecture that work together to monitor and provide security are: • USM Appliance Sensor(s) — Deployed throughout the network to collect and normalize information from any devices in your network environment that you want to manage with USM Appliance. A wide range of plugins are available to process raw logs and data from various types of devices such as firewalls, routers, and host servers. • USM Appliance Server — Aggregates and correlates information that the USM Appliance Sensors gather. (This is USM Appliancès SIEM capability). Provides single pane- of-glass management, reporting, and administration through a web-based user interface. • USM Appliance Logger — Securely archives raw event log data for forensic research and compliance mandates. (This archive of raw event data is also referred to as cold storage). 24 maggio 2021 Gianluca Peco - INFN CCR Workshop 12 Public Public 2. The USM Appliance Sensor 1. USM Appliance Sensors passively parses the raw data from different collect logs and mirrored traffic, sources and transforms it into a and actively probe assets in the stream of events, each having a network, to obtain information common set of data fields. It then about the current network activity sends the events to the going on in your environment.. USM Appliance USM Appliance Server. Workflow 4. The USM Appliance Server sends the events to the USM Appliance 3. The USM Appliance Server Logger, which signs them digitally correlates the events and assesses and stores them for forensic their risk. analyses, archival, and regulatory compliance. 24 maggio 2021 Gianluca Peco - INFN CCR Workshop 13 Public Public Simple Deployment Model — All USM Appliance components (Sensor, Server, and Logger) are combined in a USM Appliance All-in-One appliance. This configuration is most often used in smaller environments,